Prévention du problème de l’adjoint confus entre services - Amazon CloudWatch

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prévention du problème de l’adjoint confus entre services

Un adjoint confus est une entité (un service ou un compte) contrainte par une autre entité d’effectuer une action. Ce type d’usurpation d’identité peut se produire entre comptes et entre services.

Pour éviter toute confusion chez les adjoints, AWS fournit des outils qui vous aident à protéger vos données pour tous les services en utilisant des principes de service qui ont eu accès aux ressources de votre Compte AWS entreprise. Cette section se concentre sur la prévention de la confusion entre les services spécifiques à Internet Monitor ; toutefois, vous pouvez en savoir plus à ce sujet dans la section du Guide de l'IAM utilisateur consacrée au problème de confusion chez les adjoints.

Pour limiter les autorisations accordées à IAM Internet Monitor pour accéder à vos ressources, nous vous recommandons d'utiliser les clés contextuelles des conditions globales aws:SourceArnet aws:SourceAccountdans vos politiques de ressources.

Si vous utilisez ces deux clés contextuelles de condition globale et que la aws:SourceArn valeur contient l' Compte AWS ID, la aws:SourceAccount valeur et le Compte AWS in aws:SourceArn doivent utiliser le même Compte AWS identifiant lorsqu'ils sont utilisés dans la même déclaration de politique.

Pour Internet Monitor, vous devez spécifier votre identifiant de compte aws:SourceAccount et l'ARN de votre moniteur pouraws:SourceArn. Pour un accès multiservice, vous utilisez également l'ARN de votre moniteur pouraws:SourceArn.

Note

Le moyen le plus efficace de se protéger contre le problème de l’adjoint confus consiste à utiliser la clé de contexte de condition globale aws:SourceArn avec l’ARN complet de la ressource. Si vous ne connaissez pas l’ARN complet ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale aws:SourceArn avec des caractères génériques (*) pour les parties inconnues de l’ARN. Par exemple, arn:aws:internetmonitor:us-east-1:111122223333:*.

Vous trouverez ci-dessous un exemple de politique d'acceptation des rôles qui montre comment vous pouvez éviter un problème de confusion entre les adjoints. 

{
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "ConfusedDeputyPreventionExamplePolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "internetmonitor.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:internetmonitor:us-east-1:111122223333:monitor/confused-deputy-monitor"
      },
      "StringEquals": {
        "aws:SourceAccount": "111122223333"
      }
    }
  }
}